Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-026

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 01 juillet 2011
No CERTA-2011-ACT-026

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-26


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-026

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2011-ACT-026
Titre Bulletin d'actualité 2011-26
Date de la première version 01 juillet 2011
Date de la dernière version -
Source(s) -
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Incidents de la semaine

1.1 Divulgations de données d'authentification

Au cours des dernières semaines, différents groupes d'attaquants se sont fait remarquer sur l'Internet en revendiquant diverses intrusions. Ces groupes ont notamment divulgué sur des sites publics les informations d'authentification de milliers d'utilisateurs, compromettant de fait la sécurité du site mais aussi la sécurité des utilisateurs, ces derniers ayant pu utiliser les mêmes informations d'authentification sur différents sites.

L'utilisation de sites publics par des attaquants n'est cependant pas une nouveauté. En effet, il existe, depuis plusieurs années, des logiciels espions, et notamment des enregistreurs de frappe clavier, qui se servent de ces sites afin d'extraire les données qu'ils ont capturées. Il est ainsi possible d'accéder en ligne à des journaux de capture comprenant des informations sensibles comme des mots de passe ou des numéros de cartes bancaires.

Afin de limiter l'impact de ce type de fuite de données, le CERTA recommande :

  • d'utiliser des mots de passe différents pour chaque service requerrant une authentification ;
  • de changer régulièrement ses mots de passe ;
  • de mettre en place une politique de filtrage des sites publics utilisés pour faire de l'extraction de données (sites de type pastebin).

1.2 Vigilance de l'utilisateur, une ligne de défense

Cette semaine, le CERTA a traité un incident dont l'impact a été limité grace à la vigilance de l'utilisateur.

Ce dernier reçoit un premier courriel dont l'objet est l'un des sujets de travail de cet utilisateur et l'adresse d'expéditeur a la forme d'une adresse personnelle de l'un de ses interlocuteurs. Ce sont des ficelles classiques de l'ingéniérie sociale, largement reprises dans les attaques ciblées. Par ce message, il peut obtenir un document PDF qui apparaît vide avec indication que le support des javascripts est désactivé. Cela a de quoi mettre la puce à l'oreille.

Un deuxième courriel, avec le même objet et le même corps de message, mais semblant émaner d'une adresse personnelle d'un autre interlocuteur, lui parvient peu de temps après. Cette fois, notre utilisateur écrit à son interlocuteur, expéditeur apparent, non pas par la fonction de réponse, mais en utilisant l'adresse légitime qu'il connaît. Cet interlocuteur lui confirme alors l'imposture.

Ces quelques minutes de vérification ont évité de gros souci à notre utilisateur et à son service. Le document piégé contient et installe un exécutable qui tente ensuite des connexions vers un serveur externe. Bref, le schéma classique des attaques dont la presse se fait régulièrement l'écho.



Le CERTA rappelle souvent dans ses recommandations la nécessaire vigilance lors de la réception de courriels d'expéditeurs inconnus, ou même d'expéditeurs connus, quand la réception est inattendue, ou que des incohérences apparaissent : langue utilisée, utilisation inhabituelle d'une adresse personnelle, objet sans rapport avec les sujets normalement traités avec l'expéditeur...

La détection de telles anomalies est très difficile à remplir par un équipement technique. La vigilance de l'utilisateur est irremplaçable. Un courriel sur une adresse connue et fiable ou un appel téléphonique de vérification peuvent épargner bien des heures d'investigations et de restauration, voire peuvent éviter des fuites d'informations sensibles.

2 Attaques via des périphériques externes

Cette semaine, la société de sécurité Netragard a décrit un mécanisme d'attaque intéressant. Il s'agit en fait d'une évolution de la classique clé USB piégée qui, une fois branchée, va infecter le système. Ici, il s'agit d'une souris USB qui intègre un micro contrôleur simulant le comportement d'un clavier. Une fois connecté au système, ce périphérique envoie des séquences de touches au poste afin d'exécuter un programme embarqué dans la souris et, ainsi, installer une porte dérobée.

Cette attaque montre le danger que représente la connection d'un périphérique sur un poste de travail. Aussi, il est recommandé de ne pas connecter de périphériques d'origine inconnue ou douteuse à un poste de travail et ce, quel que soit le type du périphérique.

Documentation

3 Mise à jour de Thunderbird

La version 5.0 finale de Thunderbird est désormais disponible. Elle vient remplacer la version 3.1. Afin de garder un système à jour, il est recommandé de faire évoluer les clients de messagerie vers cette version.

Cette mise à jour reprend le nouveau système de numérotation mis en place dernièrement par Mozilla pour son navigateur Web Firefox.


4 Rappel des avis émis

Dans la période du 24 au 30 juin 2011, le CERTA a émis les avis suivants :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-369/index.htmlCERTA-2011-AVI-369 : Multiples vulnérabilités dans Mac OS X
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-370/index.htmlCERTA-2011-AVI-370 : Vulnérabilité dans Joomla!
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-371/index.htmlCERTA-2011-AVI-371 : Vulnérabilités dans Asterisk
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-372/index.htmlCERTA-2011-AVI-372 : Vulnérabilité dans des boitiers VPN Arkoon
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-373/index.htmlCERTA-2011-AVI-373 : Vulnérabilité dans libcurl
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-374/index.htmlCERTA-2011-AVI-374 : Multiples vulnérabilités dans Google Chrome
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-375/index.htmlCERTA-2011-AVI-375 : Vulnérabilité dans Novell File Reporter

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-351/index.htmlCERTA-2011-AVI-351-001 : Vulnérabilité dans le client SMB de Microsoft (ajout d'effets secondaires possibles)


Liste des tableaux

Gestion détaillée du document

01 juillet 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28